56、基于理想格的盲签名方案解析

基于理想格的盲签名方案解析

1. 格与相关问题

格是数学中的一个重要概念，用 $\Lambda = \Lambda(B)$ 表示，其维度为 $d$。格中的主要计算问题是最短向量问题（SVP），即给定一个格 $\Lambda$ 的基，找到一个非零向量 $v \in \Lambda$，使得在特定的 $\ell_p$ 范数下，$v$ 是最短的（允许一定的近似因子）。更精确地说，对于固定的近似因子 $\gamma \geq 1$，要找到向量 $v \in \Lambda \setminus {0}$，满足 $|v|_p \leq \gamma |w|_p$ 对所有 $w \in \Lambda \setminus {0}$ 成立。

在实际应用中，我们关注与环 $R = \mathbb{Z}_q[X]/\langle g \rangle$ 中的理想相关的一类特殊格，其中 $q$ 是素数，$\mathbb{Z}_q = {-(q - 1)/2, \ldots, (q - 1)/2}$。为了提高效率，我们通常选择 $g = X^n + 1$ 且 $n$ 为 2 的幂，但也可以用 $\mathbb{Z}$ 上的任何不可约多项式代替。

当格中的每个向量都是理想 $I \subset R$ 中多项式的系数向量时，该格对应于理想 $I$。此时，SVP 问题就转化为理想 SVP（ISVP）问题。

2. 碰撞问题与最坏情况到平均情况的转化

平均情况的困难性假设依赖于在模块同态族 $H(R, m)$ 的核中寻找短向量的问题。具体来说，当将输入的系数限制在 $D’ \subset R$，即 $[-2d, 2d] \cap \mathbb{Z}$ 时，该问题可以表述为碰撞问题。